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Prufungsantrag gem. § 44 PatG ist gesteilt ' 

(§}) Verfariren zur Veranderung der in Speicherzellen geladenen Daten einer elektronischen Frankiermaschine 

® Die Erfindung betrifft etn Verfahren zur VerSnderung der 
in Speicherzellen geladenen Daten einer elektronischen 
Frankiermaschine, mft einem Mikroprozessor zur Ausfuh- 
rung von Schritten fur eine Routine, wetche von einem 
externen EPROM gesteuert wird, umfassend, sin a) Eintreten 
in elnen Service-Modus, b) Aufruf einer Interpreter-Routine, 
wobei die Oberprufung auf gurtigen Programm-Code und/ 
Oder auf Gultigkeit der Daten mittels eines ausgewahlten 
Prufsummenverfahrens vom OTP-Prozessor durchgefuhrt 
wird, der intern die entsprechenden Prograrnmteiie enthfilt 
und c) Veranderung von Daten in der Frankiermaschine bei 
Gultigkeit der rnittels MAC Oberpruften Daten Oder Verias- 
sen der Interpreter-Routine der Frankiermaschine, wenn die 
Daten ungultig sind und Schritte zum Verhindern einer 
weiteren ProgrammausfOhrung zur Manipulation bzw. einer 
vom OTP-Pro2essor nach extern fuhrenden Programmver- 
zweigung. Die durchgefuhrte Interpreter- Routine b.esteht 
a us zwai Teilen, wobei nach dem ersten Vergleich ein Prolog 
verarbettet und dann etn Epilog aufgerufen wird, und wobei 
dann die Schritte a) bis c) wiederholt werden. 
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Beschreibung ein Sensor zur Erkennung des geoffneten Gehauses er- 

forderlich ist Insbesondere wird ein OTP-Prozessor mit 

DieErfindungbetriffteinVerfahrenzurVerandemng internen nichtfluchtigem Speicher (NV-RAM) vorge- 

der in Speicherzellen geladenen Daten einer elektroni- schlagen. Die Datensicherheit kann erhoht werden, in- 

schen Frankiermaschine in der im Oberbegriff des An- 5 demdurch OberprOfuhgsroutinen eine Manipulation er- 

spruchs 1 angegebenen Art Dieses Verfahren verbes- kannt wird. Allerdings wird ein solcher spezieller OTP- 

sert die Sicherheit von Frankiermaschinen. Prozessor nur zu einem hOheren Preis zu erwerben sein. 

In einer aus der US 4 746 234 bekannten Frankierma- Auch ein solcher spezieller OTP-Prozessor kann allein 

schine werden feste und variable Informationen in Spei- die Datensicherheit noch nicht gewahrleisten, wenn 

chermitteln (ROM, RAM) gespeichert Wenn ein Brief 10 nicht der gesamte bendtigte Programmcode im internen 

auf dem Transportpfad vor der Druckposition einen Mi- OTP-ROM gespeichert vorliegt. Dies ist aber bei einem 

kroschalter betatigt, werden diese Informationen mit- umfangreicben Programmcode nicht zu erwarten. 

tels eines Mikroprozessors ausgelesen, urn ein Dmck- In der EP 660 269 wird noch von einer Frankierma- 

steuersignal zu bilden. Beide sind danach elektronisch schine ausgegangen, die eine verschlieBbare und versie- 

zu einem Druckbild zusammengesetzt und konnen 15 gelte KJappe hat, die den Zugriff auf die dahinter liegen- 

durch Thermotransferdruckmittel auf einen zu frankie- de Hardware (EPROM-Sockel) nur einem begrenzten 

renden Briefumschlag ausgedruckt werden. speziell vertrauenswurdigen Personenkreis erlaubt 

Fur derartige Frankiermaschinen, die einen vollelek- Hier konnte davon ausgegangen werden, daB durch die- 

tronischen erzeugten Abdruck zum Frankieren von se Personen keine Manipulation der Frankiermaschine 

Postgut einschlieBlich Abdruck eines Werbeklischees 20 erfolgt 

liefern, muB im eingeschalteten Zustand ein nicht abge- Das bisherige Vorgehen bei der Grundeinstellung der 

rechnetes gultiges Frankieren verhindert werden. Frankiermaschine im FertigungsprozeB sah vor, die Ma- 

Bekannte Frankiermaschinen enthalten in mindestens schinenparameter durch eine Resetsoftware, die der 

einem Speicher drei relevante Postregister fur ver- Maschine durch eine Reset-EPROM zuganglich ge- 

brauchten Summenwert (steigendes Register), noch ver- 25 macht wurde und durch den maschineneigenen Prozes- 

fQgbares Restguthaben (fallendes Register) und Regi- sor abgearbeitet wurde, einzustellen. Dazu wurde das 

ster fur eine Kontrdllsumme. Die Kontrollsumme wird Reset-EPROM in den externen Klischee-Sockel einge- 

mit der Summe aus verbrauchten Summenwert und aus setzt, und die Funktionalitat durch Betatigen der Vorga- 

verfugbaren Guthaben verglichen. Bereits damit ist eine betaste freigegeben. 

Oberprufung auf richtige Abrechnung moglich. 30 Die Tatsache, daB durch das Betatigen der Vorgabe- 

Grundsatzlich ist jede vorgenommene Frankierung taste eine Programmverzweigung in den Codebereich 

abzurechnen und jede Manipulation, welche zu einer des externen EPROM-Sockels erfpigt macht eine Mani- 

nichtabgerechneten Frankierung fuhrt, muB verhindert pulation der Maschinensoftware durch fremde 

werden. EPROMS moglich. Eine Manipulation durch den End- 

Es ist bereits in der US 4,81 2,965 ein Ferninspektions- 35 kunden wurde hierbei zwar die Zerstprung des Postver- 

system fiir Frankiermaschinen vorgeschlagen worden, schlusses erfordern, was den technisch befahigten Mani- 

welches auf speziellen Mitteilungen im Abdruck von pulator bei Betrugsabsicht jedoch kaum hindern kann, 

Poststucken, die der Zentrale zugesandt werden mus- diesen Schritt durchzufuhren, wenn er in den Besitz ei- 

sen, oder auf einer Fernabfrage uber MODEM basiert nes solchen Reset- EPROMS gelangt Fur die kunden- 

Sensoren innerhaib der Frankiermaschine sollen jede 40 spezifische Veranderung einiger Maschinenparameter, 

vorgenommene Verfalschungshandlung detektieren, welche fur die Vermietung von Frankiermaschinen iin- 

damit in zugehorigen Speichern ein Flag gesetzt werden erlaBlich sind, muBte der vertrauenswurdige Kreis an 

kann, falls in die Frankiermaschine zu Manipulations- Personen stark erweitert werden, welche die Postklap- 

zwecken eingegriff en wurde. Ein solcher Eingriff konnte pe offnen durf en- 

erfolgen, urn ein nicht bezahltes Guthaben in die Regi- 45 Diese Moglichkeit der Manipulation ist nicht tragbar, 

ster zu laden. da neben der Veranderung von Registerstanden, auch 

Bet Feststellung einer Manipulation wird die Fran- das Auslesen der sonst geschutzten, OPT-eigenen Spei- 

kiennaschine wahrend der Ferninspektion uber Modem cherzellen ermoglicht wurde. Zudem wurde die Post- 

durch ein von der Datenzentrale ausgehendes Signal klappe, welche die Vorgabetaste und den externen 

gesperrt Eine geschickte Manipulation konnte aber an- 50 EPROM-Sockel durch den PostverschluB vor nachweis- 

dererseits darin bestehen, nach der Herstellung von lich illegalem Zugriff schutzt, legal einem groBeren Per- 

nicht abgerechneten Frankieraufdrucken, das Flag und sonenkreis zuganglich. Damit besteht eine hohere 

die Register in den ursprunglichen Zustand zuruckzu- Wahrscheinlichkeit einer unbemerkten Manipulation, 

versetzen. Eine solche Manipulation ware uber Fernin- Eine teilweise geoffnete Postklappe hatte anderer- 

spektion durch die Datenzentrale nicht erkennbar, 55 seits den Vorteil, daB der Anwender Zugriff auf den 

wenn diese ruckgangig gemachte Manipulation vor der Klischee- EPROM-Sockel hat und den Klischee- 

Ferninspektion lag. Auch der Empfang der Postkarte EPROM selbstandig wechseln kann. Dadurch konnten 

von der Datenzentrale, auf welche eine zu Inspektions- beim Frankiermaschinenbenutzer Service-Kosten ein- 

zwecken vorzunehmende Frankierung erfolgen soil, ge^ gespart bzw. auf das notige MaB beschrankt werden. 

stattet dem Manipulator die Frankiermaschine in aus- 60 Dieser Sockel ist mit dem Mikroprozessorbus verbun- 

reichender Zeit in den ursprunglichen Zustand zuruck- den, d. h. eine Manipulation konnte so erfolgen, daB ein 

zuversetzen. Damit ist also noch keine hohere Sicher- Manipulator ein manipuliertes Programm-EPROM ein- 

heit erreichbar. setzt, das wie ein RESET-EPROM die Kontrolle uber 

In der EP 660 269 wurden bereits MaBnahmen fiir das Mikroprozessorsystem ubernimmt und somit Geld- 

eine hohere Manipulationssicherheit in Verbindung mit 6 5 werte, Eintrage oder Sicherheitseintrage in der Fran- 

einem OTP-Prozessor (ONE TIME PROGRAMMA- kiermaschinegezieltverandertoder daB ein manipulier- 

BLE) vorgeschlagen, ohne daB eine besondere mechani- tes Klischee-EPROM einsetzt, daB veranderte Druck- 

sche Kapselung der sicherheitsrelevanten Bauteile bzw. daten des Wertstempels enthalt (Ort des Absenders, 
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Postleitzahl des Absenders) und eine Manipulation des 
Wertstempelabdruckes zur FoJge hatte. 

Wird nun aber eine Losung fur eine Frankiermaschi- 
ne bendtigt, die eine teil weise geoffnete Postklappe auf- 
weist, mit der die Sicherheit dennoch aufrecht erhalten 
werden kann, miissen zus§tzliche MaBnahmen fur ein 
externes Speichermittel (RESET-EPROM bzw. Service- 
EPROM) ergriffen werden, welches die in Speicherzel- 
len geladenen Daten (externe NVRAM's) einer elektro- 
nischen Frankiermaschine verandern kann. 

Es war die Aufgabe zu losen, die Nachteile des Stan- 
des der Technik zu uberwinden und einen signifikanten 
Zuwachs an Sicherheit einer Frankiermaschine zu errei- 
chen. Das Sicherheitsgehause soil durch ein Gehause 
ersetzt werden, welches die Zuganglichkeit auf einzelne 
Bausteine der Elektronik fur den Servicetechniker ver- 
bessert. Dabei soli ein Prozessor ohne einen internen 
NV-RAM eingesetzt werden. Eine weitere Aufgabe ist 
es, die Sicherheit der Daten in der Frankiermaschine zu 
verbessern, die bei einer Aktion durch den Service- 
Techniker beziehungsweise Handwerker mittels einem 
externen Speichermittel geandert beziehungsweise ein- 
gegeben werden. 

Die Aufgabe wird mit den Merkmalen der Anspruche 
1 und 6 geldst 

Die Erfindung betrifft ein Verfahren zur Veranderung 
der in Speicherzellen geladenen Daten einer elektroni- 
schen Frankiermaschine, mit einem Mikroprozessor in 
einer Steuereinheit der Frankiermaschine zur Ausfiih- 
rung von Schritten fiir eine Routine, welche von einem 
externen SPEICHER-MEDIUM (EPROM) gesteuert 
wird, umfassend, ein 

a) Eintreten in einen Spezial-Modus, der eine Ver- 
anderung der in Speicherzellen der elektronischen 
Frankiermaschine geladenen Daten gestattet, 

b) Aufruf einer Priif-Routine, welche in einem si- 
cheren internen Bereich einer elektronischen Fran- 
kiermaschine ablauft, zur Feststellung der Giiltig- 
keit eines Programm -Codes und/oder von Daten 
im vorbestimmten Speicherplatz basierend auf ei- 
nem Authentifikationsverfahren und 

c) Veranderung von Daten in der Frankiermaschine 
bei Gultigkeit der mittels Authentifikationsverfah- 
ren uberpriiften Daten oder Verlassen der Priif- 45 
Routine der Frankiermaschine, wenn die Daten un- 
gultig sind und Schritte zum Verhindern einer wei- 
tereri Programmausfuhrung zur Manipulation bzw. 
einer von der elektronischen Frankiermaschine 
nach extern fuhrenden Programmverzweigung. 50 

Die Interpreter-Routine wird im bestehenden System* 
einmal vor und das zweite Mai nach dem Prograrnmteil 
der Dealer-Funktionen ausgefiihrt. Dementsprechend 
werden die Daten/Programmbereiche, die zii diesem 55 
Zweck* aus dem externen Speichermedium geleseh wer- 
den, ais Prolog und Epilog bezeichnet 

Die Erfindung geht vorzugsweise von einem Prozes- 
sor aus, der .nur einmal programmiert werden kann 
(ONE TIME PROGRAMMABLE). Eine erhohte Si- 6 o 
cherheit kann beispielsweise mit einem maskenpro- 
grammierten Mikroprozessor erreicht werden, der nach 
auBen Ports und eine interne Busstruktur, ein internes 
ROM, ein internes RAM fiir sicherheitsrelevante Ablau- 
fe aufweist In das interne Rom werden sicherheitsrele- 65 
vante Daten und Routinen wahrend der Herstellung 
* eingebrannt 

Eine bevorzugte Variante geht von einer Frankierma- 
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schine mit Mikroprozessor aus, in der der Mikroprozes- 
sor einen internen ROM enthalt, der ein Auslesen des 
darin enthaltenen Programmcodes nicht erlaubt. Dies 
kann ein handelsiiblicher OTP-Prozessor (ONE TIME 
5 PROGRAMMABLE) sein, den man nach dem Program- 
mi ervorgang durch setzen/brennen einer Auslesesperre 
in einen solchen Zustand versetzt 

Die Frankiermaschine kann auch mit einem OTP-Typ 
ausgerustet werden, der ein Auslesen von sicherheitsre- 
10 levanten Daten und Prograrnmen in verschliisselter 
Form gestattet (Encryption-Table). Das hat den Vorteil, 
daB eine Kontrolle dariiber moglich ist, ob die Daten 
ordnungsgemaB gespeichert wurden. 

Die Erfindung ist fiir auf andere Weise gesicherte 
15 Mikroprozessorsysteme einsetzbar. 

Die Erfindung hat den Vorteil, den PrograrnrnfluB, der 
durch die interne Betriebssoftware der Maschine vorge- 
geben ist, durch externe Speichermedien zu beeinflus- 
sen, wobei zu diesem Zweck keine Programmverzwei- 
20 gung der CPU in den Speicherbereichen des externen 
Speichermediums, und somit keine ungewollte Steue- 
rung des Prozessors ermoglicht wird. Um die so in den 
PrograrnrnfluB durch externe Medien integrierbaren 
Programmablaufe von Manipulation zu schiitzen, sind 
25 Prolog und Epilog jeweils durch einen MAC gesichert 
Solange keine Programmverzweigung in externe 
Speichermittel stattfindet, besteht ein sicherer Schutz 
vor betriigerischer Manipulation. In vorteilhafter Weise 
wird mit den Programmteilen, die tm internen OTP- 
30 ROM ausgefiihrt sind, auch ein Schutz auch von extern 
gespeicherten Programmteilen ermoglicht, die bei- 
spielsweise in einem EPROM gespeichert vorliegen. 

Hierbei ist als Vorteil zu erwahnen, daB das Klischee- 
EPROM nicht nur ausschlieBlich vom Servicetechniker, 

35 sondern auch problemlos von jeder anderen befugten 
Person in den Sockel gesteckt bzw, ausgewechselt wer- 
den darf. Spezielle Treiberschaltkreise (Buffer), welche 
zwischen Bus und EPROM-Sockel geschaltet ist (Fig. 2), 
verhindern das Auslesen von frankiermaschineninter- 

40 nen Daten nach auBen. Andererseits konnen Daten je- 
derzeit fiber den Sockel in die Frankiermaschine einge- 
geben werden. 

Das erfindungsgemaBe Verfahren umfaflt die Schrit- 
te: 

— Betatigen einer Vorgabetaste und Priifen einer 
Zugangsberechtigung anhand eines im externen 
Speichermedium gespeicherten Zugangsschiiissels 
zum Eintreten in den Spezial-Modus, 

— Bilden einer ersten MAC-Prfifsumme im Prozes- 
sor der elektronischen Frankiermaschine fiber ei- 
nen ersten (PROLOG) der Inhalte desjenigen ex- 
ternen Speichers, welchem ein erster MAC (MES- 
SAGE AUTHENTICATION CODE) zugeord- 
netist, 

— Vergleich der in vorgenanriter Weise gebildeten 
MAC-Prufsurnme im vorgenannten Prozessor mit 
dem im externen Speichermittel gespeicherten 
Wert des ersten MAC 

— Durchfuhrung einer Verarbeitungs- Routine zur 
Verarbeitung des iibertragenen ersten Speicherin- 
haltes (PROLOG) im vorgenannten Prozessor oder 
Verlassen der Pruf-Routine der Frankiermaschine, 
wenn die Daten ungultig sind und Schritte zum 
Verhindern einer weiteren Programmausfuhrung 
zur Manipulation bzw. einer vom vorgenannten 
Prozessor nach extern fuhrenden Programmver- 
zweigung, 



— Durchfuhrung von internen Dealer- Routinen 
zum Andern von Daten in Speicherzellen der Fran- 
kiermaschine, 

— Bilden einer zweiten MAC-Priifsumme im vor- 
genannten Prozessor Qber einen zweiten (EPI- 
LOG) der Inhalte desjenigen externen Speichers, 
welchero ein zweiter MAC (MESSAGE AUTHEN- 
TIFICATION CODE) zugeordnet ist, 

— Vergleich der in vorgenannter Weise gebildeten 
MAC-Priifsumme im vorgenannten Prozessor mit 
dem im externen Speichermittel gespeicherten 
Wert des zweiten MAC, 

— Durchffihrung einer Verarbeitungs-Routine zur 
Verarbeitung des fibertragenen erst en Speicherin- 
haltes (EPILOG) im vorgenannten Prozessor bei 
Gleichheit der vorgenannten MAC's und Beenden 
der Verarbeitungsroutine EPILOG oder Verhin- 
dern der Durchfuhrung der Pruf-Routine, wenn ein 
Fehler festgesteilt wird. 

Die gedffnete Postklappe gestattet mittels eines Spe- 
zial-EPROM's fiber den externen EPROM-Sockel eine 
Datenstruktur von auBen anzulegen, welche bei Betati- 
gung der geschiitzten Vorgabetaste unter der Wirkung 
eines internen Interpreters zur Veranderung des Fran- 
kiermaschinenzustandes beitragt 

Es ist vorgesehen, daB der Interpreter als eine speziel- 
le Routine, die im frankiermaschineninternen Pro- 
grammspeicher gespeichert ist, durch eine iiber den ex- 
ternen EPROM-Sockel von auBen angelegte Daten- 
struktur aktiviert wird, und mit den im frankiermaschi- 
neninternen Programmspeicher gespeicherten Be- 
triebsprogrammteilen zusammenwirkt, am Daten zu in- 
terpretieren. Jeweils ein Zugangsschlussel ermoglicht 
den Zugang zum entsprechenden Spezial-Modus, wobei 
die vorgenannte Datenstruktur Informationen umfaBt, 
die vom Interpreter verarbeitet werden und wobei der 
vorgenannten Prozessor Operationen ausfuhrt, die sich 
ausschlieBIich im Codebereich des Betriebsprograrnmes 
im frankiermaschineninternen Programmspeicher be- 
finden. 

Vorteilhafte Weiterbildungen der Erfindung sind in 
den Unteransprfichen gekennzeichnet bzw. werden 
hachstehend zusammen mit der Beschreibung der be- 
vorzugten Ausfuhrung der Erfindung anhand der Figu- 
ren naher dargestellt Es zeigen: 

Fig. 1, Blockschaltbild einer Frankiermaschine mit er- 
findungsgemaB erhohter Sicherheit, 

Fig. 2, Variante mit OTP in der Steuereinrichtung der 
Frankiermaschine, 

Fig. 3, Aufbau eines Datensatzes, welcher vom Inter- 
preter verarbeitet werden kann, 

Fig. 4, FluBdiagramm fur den schematischen Aufbau 
und den DatenfluB des Interpreters, 

Fig. 5, Ablaufdiagramm fur die logische Einbettung 
des Interpreters in die interne Service- Funktionalitat 

In der Fig. 1 ist ein Blockschaltbild einer elektroni- 
schen Frankiermaschine mit erfindungsgemaB erhohter 
Sicherheit gezeigt Die Erfindung basiert auf einer Fran- 
kiermaschine mit einem Mikroprozessor, der einen in- 
ternen OTP-ROM enthalt, der ein Auslesen des darin 
enthaltenen Programmcodes nicht erlaubt AuBerdem 
sind sicherheitsrelevante Daten im internen OTP-ROM 
gespeichert Zur Verhinderung des Auslesens durch ei- 
nen externen Eingriff konnen im Mikroprozessor ent- 
sprechende Sicherungsbits wahrend der Herstellung 
der Frankiermaschine gesetzt werden. Dies kann ein 
handelsublicher OTP- Prozessor sein, den man nach dem 



Programmiervorgang durch setzen/brennen eiffer Aus- 
lesesperre in einen solchen Zustand versetzt oder dies 
kann ein Mikroprozessor mit maskenprogrammierba- 
rem ,ROM sein, der nach dem HerstellungsprozeB ein 
5 Auslesen des Programmcodes nicht mehr erlaubt oder 
nur ein Auslesen des Programmcodes und der Daten in 
verschlQsselter Form erlaubt 

Die Fig. 1 zeigt ein Blockschaltbild der erfindungsge- 
maBen Frankiermaschine mit einem Druckermodul 1 

io fur ein vollelektronisch erzeugtes Frankierbild, mit min- 
destens einem mehrere Betatigungselemente aufwei- 
senden Eingabemittel 2, einer Anzeigeeinheit 3, einem 
die Kommunikation mit einer Datenzentrale herstellen- 
den MODEM 23, weitere Eingabemittel 21 bzw. Waage 

15 22 welche fiber einen Ein/Ausgabe-Steuermodul 4 mit 
einer Steuereinrichtung 6 gekoppelt sind und mit nicht- 
fluchtigen Speichern 5a, 5b bzw. 9, 10 und 11 fur Daten 
bzw. Programme, welche die variablen bzw. die kon- 
stanten Teile des Frankierbildes einschlieBen. 

20 Ein Charakterspeicher 9 liefert die notigen Druckda- 
ten fur die variablen Teile des Frankierbildes zu einen 
fluchtigen Arbeitsspeicher 7. Die Steuereinrichtung 6 
weist einen Mikroprozessor \iP auf, der mit dem Ein/ 
Ausgabe-St'euermodul 4, mit dem Charakterspeicher 9, 

25 mit dem fluchtigen Arbeitsspeicher 7 und mit nichtflQch- 
tigen Arbeitsspeichern 5a, 5b, welche einen Kostenstel- 
lenspeicher umfassen, mit einem Programmspeicher 11, 
mit dem Motor einer Transport- bzw. Vorschubvorrich- 
tung gegebenenfalls mit Streifenauslosung 12, einem 

30 Encoder (Codierscheibe) 13 sowie mit einem Uhren/Da- 
tums-Baustein 8 in Verbindung steht Die einzelnen 
Speicher konnen in mehreren physikalisch getrennten 
oder in nicht gezeigter Weise in wenigen Bausteinen 
zusammengefafit verwirklicht sein. Derjenige Speicher- 

35 baustein, welcher den nichtfluchtigen Arbeitsspeicher 
5b umfaBt, kann beispielsweise ein EEPROM sein, der 
durch mindestens eine zusatzliche MaBnahme, bei- 
spielsweise Aufkleben auf der Leiterplatte, Versiegeln 
oder VergieBen mit Epoxidharz, gegen Entnahme gesi- 

40 chert wird. 

In der Fig. 2 ist ein Detail des Blockschaltbild es der 
elektronischen Frankiermaschine fur eine Variante mit 
OTP in der Steuereinrichtung gezeigt Bei dieser prinzi- 
piellen Anordnung in der Fig. 2 konnen Sensoren und 

45 Aktoren, wie beispielsweise die in der Fig. 1 dargestellr 
ten Encoder 13 und Motor 12 wahlweise direkt oder 
fiber I/O- Ports mit dem OTP verbunden sein. 

Eine bevorzugte Variante eines Mikroprozessors ist 
ein 8051 -Prozessor mit 16 kByte On-Chip-EPROM (Phi- 

50 lips 87C51FB) Ein solcher OTP-Typ (One Time Pro- 
grammable) kann nicht durch UV-Licht geloscht wer- 
den, weil dieser kein fur UV-Lichtdurchtritt geeignetes 
Fenster aufweist Deshalb kann ein OTP nur einmal pro- 
grammiert werden. Der interne OTP-RAM hat einen 

55 Speicherbereich von 256 Byte. 

Weiter geht die Erfindung davon aus, daB sicherheits- 
relevante Daten und Programmteile, die im internen 
OTP-ROM gespeichert vorliegen, einen Interpreter um- 
fassen. 

$0 Der Interpreter ist eine spezielle Routine, die im in- 
ternen OTP-ROM gespeichert ist und durch eine fiber 
den externen EPROMsockel von auBen angelegte Da- 
tenstruktur aktiviert wird, mit den im internen OTP- 
ROM gespeicherten Betriebsprogrammteilen zusam- 

65 menwirkt, um Daten zu interpretieren. 

Es ist vorgesehen, daB jeweils ein Zugangs-Schlussel 
den Zugang zum entsprechenden Spezial-Modus er- 
moglicht, daB die vorgenannte Datenstruktur Informa- 
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tionen umfafit, die vom Interpreter verarbeitet werden 
und daB die OTP-interne CPU Operationen ausfuhrt, 
die sich ausschiieBlich im Codebereich des Betriebspro- 
grammes im internen OTP-ROM befinden. 

Der Interpreter wurde in die Betriebssoftware inte- 
griert und verarbeitet definierte Datenstrukturen des 
externen EPROMS jeweils beim Beginn und Ende der 
Dealer-Betriebsart Damit wird erfindungsgemaB eine 
gezielte Modifikation von Speicherzellen der Maschine 
ermoglicht Somit konnen durch eine Update des exter- 
nen Dealer-EPROMS zusatzliche Operationen ausge- 
fiihrt werden, ohne die Betriebssoftware selbst zu ver- 
andern und ohne die Obernahme der Programmkon- 
trolle durch Verzweigung in den externen Codebereich 
zu gestatten. 

ErfindungsgemaB wurde die Software fiir den Dealer- 
und Reset- Mode in das Innere (das heiBt, in das interne 
EPROM und/oder interne OTP-ROM) der Maschine 
verlagert, so daB in diesen Betriebsarten keine Sprung- 
verzweigung in den Codebereich des externen Spei- 
chers, mit welchem die Speicherzellen verandert wer- 
den konnen, erfolgt Die weiterhin extern einzusetzen- 
den Reset- und Dealer-EPROMS enthalten dazu jeweils 
einen 64 Bit Schlussel, der erst den Zugang zu den ent- 
sprechenden Modi ermoglicht Die CPU fuhrt damit nur 25 
noch Operationen aus, die sich im Codebereich der Ma- 
schinensoftware befinden, die zusatzlich durch eine zy- 
klische MAC-Prufung vor Manipulation geschutzt wird. 
Um die Funktionen der Reset-Betriebsart, die sich damit 



TYP kennzeichnet den Typ des Wertes, welcher in einer 
dritten Komponente WERTangegeben worden ist 

Der TYP legt bei einigen Instruktionen fest, wie der 
Wert der Programmzeile bzw. des Stacks oder des an- 
gesprochenen Speicherbereichs typisiert werden soil 
Wird fur die Instruktion keine Typangabe bendtigt so ist 
der Typ ais T None anzugeben. 

Eine im Service-EPROM enthaitene interpretierbare 
Information besteht aus n Zeilen. Die Zeilen. des Pro- 
gramms sind von 0 an aufsteigend numeriert und kon- 
nen dadurch fur die Ausfiihrung von Sprunganweisun- 
gen adressiert werden. Jede Programmzeile besitzt vor- 
genannte Struktur: OPERATION; TYP; WERT. Bei ei- 
ner anderen Variante sind auch unare Operatoren (kein 
TYP, kein WERT) zugelassen. 

Die Befehle beziehen sich auf einen 12-stufigen 
Stack-Speicher und erlauben beispielsweise das Ausle- 
sen von Speicherzellen, die Ausfuhrung von logischen 
und arithmetischen Operationen auf dem Stack sowie 
20 die Speicherung von Stackeintragen in Speicherzellen 
der Maschine. Dabei konnen Code-, und samtliche Da- 
tenspeicherzellen der Maschine adressiert werden. Zur. 
Steuerung des Programmflusses wahrend der Interpre- 
tation steht eine logische Vergleichsoperation mit den 
zugehorigen, bedingten und unbedingten Sprungbefeh- 
len zur Verfiigung. 

Das in der Fig. 4 dargest elite FluBdiagramm zeigt den 
schematischen Aufbau und den DatenfluB des Interpre- 
ters. Die interpretierbare Datenstniktur im externe 
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in jeder Maschine befinden, nicht zur Manipulation her- 30 EPROM muB natiirlich durch entsprechende Maflnah- 



anzuziehen, wurde die Funktionalitat dieser Betriebsart 
derart begrenzt, daB keine Erhohung der Geldbetrage 
oder eine Veranderung der Teleporto- Parameter er- 
moglicht wird. 

Durch ein externes Speichermedium wird die Fran- 
kiermaschine in einen speziellen Betriebszustand ver- 
setzt, in welchem der Datenzustand von Speicherzellen 
verandert werden kann. Daten beziehungsweise Pro- 
grammcode werden aus einem externen Speichermedi- 
um, das an die Frankiermaschine angeschlossen wird, 
durch den maschineninternen Mikroprozessor in einen 
Speicher der Frankiermaschine ubertragen. Der Daten/ 
Programmbereich enthalt ein MAC, der den Bereich 
authentifiziert. Die Oberprufung der Giiltigkeit wird 
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men vor eventuellen Manipulationen geschutzt werden, 
da durch den Interpreter samtliche Daten-Speicherbe- 
reiche der Maschine zuganglich und manipulierbar sind 
Jm Service-EPROM befinden sich zwei interpretierbare 
Speicherbereiche, Sie werden, im Bezug auf den Zeit- 
punkt ihrer Interpretation, als Prolog (Block 91) und 
Epilog (Block 93) bezeichnet Jeder Bereich wird durch 
eine MAC-Prufsumme (Block 90 und 92) gesichert Be- 
vor die Datenstniktur in den Schritten 35 und 42 verar- 
beitet wird, erstellt der Interpreter eine Kopie der 
Struktur und des MACs (Schritte 31 und 38) im internen 
RAM der Maschine und fuhrt anschlieBend auf der Ko- 
pie eine Plausibilitatspriifung (Schritte 33 und 40) durch. 
Das Arbeiten auf einer internen Kopie verhindert hier- 



durch den Mikroprozessor der Maschine auf der Kopie 45 bei die externe Manipulation des Programms wahrend 



vorgenommen. Sind die Daten/Programmcode plausi : 
bei, so werden sie entweder direkt vom Mikroprozessor 
als Programmcode verarbeitet, oder durch eine Inter- 
preter-Software, die den Mikroprozessor steuert, inter- 
pretiert Nicht authentifizierbare Daten/Programmbe- 50 
reiche werden nicht weiter verarbeitet Die Verarbei- 
tung der externen zugefuhrten Informationen wird zum 
Verandern von maschineninternen Speicherzellen ein- 
gesetzt Da die externen Daten/Programmbereiche 
nicht direkt vom Prozessor abgearbeitet werden, son- 55 
dern immer die interne Kopie zugrunde gelegt-wird, 
kann die CPU nicht durch externe, manipulierte Pro- 
grammbereiche gesteuert werden. 

Die Funktion des Interpreters wird anhand der Fig. 3 
bis 5 erlautert. 60 

In der Fig. 3 ist der Aufbau eines Datensatzes darge- 
stellt, welcher vom Interpreter verarbeitet werden kann. 
Die Information, die vom Interpreter verarbeitet wer- 
den kann, wird von einer Reihe von Befehlen gebildet, 

welche grundsatzlich aus einem Datensatz mit drei 65 CRC-Prufsumme uber den Prolog-Codebereich gebil- 
Komponenten bestehen. Eine erste Komponente OPE- , det. Bei der Herstellung bzw. Programmierung des 
RATION kennzeichnet die durch den jeweiligen Befehl EPROMS wurde bereits eine MAC-Prufsumme uber 
auszufuhrende Operation. Eine zweite Komponente den Prolog-Codebereich gebildet und im EPROM ge- 



dessen Interpretation. 

Das in der Fig. 5 gezeigte Ablaufdiagramm zeigt die 
logische Einbettung des Interpreters in die interne Ser- 
vice- beziehungsweise Dealer- Funktionalitat 

Die Struktur im Service-EPROM wird durch eine Ta- 
belle gebildet, in der jede Zeile aus den Komponenten 
Operation, Datentyp des Wertes bzw. der Operation 
sowie dem Wert besteht Zusatzlich dem in der Fig. 3 
gezeigten Aufbau eines Datensatzes, welcher vom In- 
terpreter verarbeitet werden kann, kann jede Zeile eine 
vierte Komponente zur Beschreibung des Befehls auf- 
weisen. Die Tabelle wird zeilen weise vom Interpreter 
abgearbeitet Dabei kann die Reihenfolge der Abarbei- 
tung durch Sprungoperationen beeinfluBt werden. 

Nach dem Start im Schritt 30, der durch die Betati- 
gung der Vorgabetaste ausgelost wird, erfolgt im Schritt 
31 ein Kopieren des Prologs in den internen Datenbe- 
reich des internen OTP-RAM. Eine MAC-Prufsumme 
wird im Schritt 32 durch DES-Verschlusselung der 
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speichert Zur Authentifizierung der Daten im Prolog- 
Codebereich des eingesetzten externen EPROMS er- 
folgt im Schritt 33 ein Vergleich des im internen OTP- 
RAMtfluchtig gespeicherten MAC's mit dem im exter- 
nen Service-EPROM nichtfluchtig gespeicherten MAC 
Bei einer Nichtubereinstimmung beider MAC's wird 
zum Schritt 37 verzweigt Bei einer Obereinstimmung 
beider MAC's wird anderenfalls zum Schritt 34 ver- 
zweigt um den Internreter zu initialisieren. Im nachfol- 
genden Schritt 35 wird aus dem internen Datenbereich 
des internen OTP- ROM ein Befehl ausgelesen und ver- 
arbeitet Im Schritt 36 wird gepruft, ob ein Fehler aufge- 
treten oder das Ende der Befehlsausfuhrung erreicht 
worden ist Bei einem Fehler oder am Ende der Befehls- 
ausfuhrung wird zum Schritt 37 verzweigt Anderenfalls 
wird zum Schritt 35 zuruckverzweigt 

Im Schritt 37 werden interne Service- bzw. Dealer- 
Funktionen ausgefuhrt, weiche im internen OTP-ROM 
als Programmcode gespeichert vorliegen. Vpm Schritt 
37 wird dann zum Schritt 38 weitervorangeschritten, um 
den Epilog entsprechend zu verarbeiten. Im Schritt 38 
. erfolgt in Kopieren des Epilogs in den internen Daten- 
bereich des internen OTP-RAM. Eine MAC- PrUfsumme 
wird im Schritt ?9 durch DES-Verschlusselung der 
CRC-Prufsumme iiber den Epilog-Cod ebereich gebil- 
det Bei der Herstellung bzw. Programmierung des 
EPROMS wurde bereits eine MAC-Prufsumme uber 
den Epilog-Codebereich gebildet und im EPROM ge- 
speichert Zur Authentifizierung der Daten im Epilog- 
Codebereich des eingesetzten externen EPROMS er- 
folgt im Schritt 40 ein Vergleich des im internen OTP- 
RAM fluchtig gespeicherten MAC's mit dem im exter- 
nen Service-EPROM nichtfluchtig gespeicherten MAC 
Bei einer Nichtubereinstimmung beider MAC's wird 
zum Schritt 44 verzweigt Bei einer Obereinstimmung 
beider MAC's wird anderenfalls zum Schritt 41 ver- 
zweigt um den Interpreter zu initialisieren. Im nachfol- 
genden Schritt 42 wird aus dem internen Datenbereich 
des internen OTP- ROM ein Befehl ausgelesen und ver- 
arbeitet. Im Schritt 43 wird gepruft, ob ein Fehler aufge- 
treten oder das Ende der Befehlsausfuhrung erreicht 
worden ist Bei einem Fehler oder am Ende der Befehls- 
ausfuhrung wird zum Schritt 44 verzweigt Anderenfalls 
wird zum Schritt 42 zuruckverzweigt Im Schritt 44 wird 
das Verfahren beendet 

Bei der Abarbeitung eines Programms konnen fol- 
gende Fehlerfalle auftreten, die zur Beendigung des.In- 
terpretationsvorgangs fuhren: 

— Stackkapazitat reicht nicht aus oder der Stack 
enthalt nicht genugend Eintrage fur die gef order te 
Operation. 

— Verletzung der Datentypbeschrankungen einer 
Operation. 

— .Interpretation einer unbekannten Operation. 

— Verlassen des Programmbereichs durch ein un- 
giiltiges SprungzieL 

Der Interpreter verfugt uber einen begrenzten Stack 
(eingestellte Tiefe: 12 Eintrage). Auf dem Stack werden 
die Werte als Struktur aus Long- Wert (32 Bit) und Da- 
tentyp abgelegt 

Eine. auf derartigen Einsiellungen beruhende Initiali- 
sierungr der Frankiermaschine erfolgt vor dem Zusam- 
menbau der Frankiermaschine mittels eines Reset- oder 
Master-EPROMS. Die Einst Hung beispielsweise einer 
Seriennummer der Frankiermaschine oder einer Kun- 
dennummer oder andere Einstellungen konnen mittels 
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eines Service-EPROMS jederzeit wiederholt vorge- 
nommen werden. Beim Einsatz eines Service-EPROMS 
muB die versiegelte Postklappe, die die Vorgabetaste 
freigibt, geoffnet werden. In diesem geoffneten Zustand 

5 ist ein normaler Betrieb der Frankiermaschine nicht 
moglich. Nach dem Prufen des entsprechenden 64-Bit- 
Zugangsschlussels und der Authentizitat der Daten 
durch die Pruf-Routine, wird die Zugangsberechtigung 
erteilt und das zugehorige Programm aufgerufen, um 

io beispielsweise die Seriennummer zu verandern. Ober 
die Tastatur 2, MODEM 23 oder weitere Eingaberhittel 
21 (beispielsweise Chipkarten-Lese/Schreibeinheit) der 
Frankiermaschine konnen Daten als eine Zahl bzw. alp- 
hanumerische Zeichen eingegeben werden, weiche in 

is der Anzeigeeinheit 3 angezeigt werden, es erfolgen spe- 
zifische weitere Eingabeschritte, um die Maschinen- 
nummer zu loschen bzw. neu einzugeben oder zu an- 
dern. 

Es konnen riicht nur Kundennummern oder andere 
20 Einstellungen vorgenommen werden, die im Zusam- 
menhang mit dem Service oder Dealer-Mode stehen. 
Prinzipiell konnen schwere Fehler anlaBlich der nach- 
sten Inspektion vor Ort von einer dazu berechtigten 
Person aufgehoben werden. Ein solcher Fehler, bei- 
25 spielsweise wenn der Prozessor nicht auf den Arbeits- 
speicher zugreifen kann, das heiBt, den Dateninhalt des 
RAM's weder lesen noch verandern kann, wird bei- 
spielsweise durch Stecken eines speziellen RESET- 
EPROMS beseitigt Hierzu muB wieder die Verplom- 
30 bung der Kiappe zur Vorgabetaste beseitigt und die 
Postklappe und damit die Frankiermaschine geoffnet 
werden. Das RESET- EPROM enthalt die erforderlichen 
Daten, beispielsweise den entsprechenden Schlussel, 
und spezielle Programme zur Wiederherstellung der 

35 Frankiermaschinenfunktion. Beispielsweise kann ein 
solches Programm eine erfolgte Redundanzverringe- 
rung oder Fehlspeicherungen wieder riickgangig ma- 
chen. Wird ein Unterprogramm aufgerufen, um bei- 
spielsweise die Werte in den Registern zu verandern, 

40 erfolgen spezifische weitere Eingabeschritte, um die Re- 
gis tereintragung zu loschen beziehungsweise neu einzu- 
geben oder zu andern. 

Scenario: Die Routine zur manuellen Eingabe der 
Portoabrufnummer, die sich in der internen Betriebss- 

45 oftware der Maschine befindet, erweist sich im Feld als 
fehlerhaft, indem sie zum Beispiel die Seriennummer der 
Maschine falschlicherweise uberschreibt Da sich diese 
Funktion im internen EPROM der Maschine befindet, 
kann sie nur durch ein Update der Betriebssoftware 

so korrigiert werden, was das Offnen der Maschine und das 
Wechseln des EPROMS sowie eventuell des OTP-Pro- 
zessors bedeutet Diese Vorgange sind, abgesehen vom 
Aufwand, dem Dealer nicht erlaubt 

Der integrierte Interpreter bietet nun folgende Mog- 

55 lichkeitan: 

Der Maschinenentwickler sendet eine Update des 
Dealer-EPROMs an die Dealer. Es enthalt ein Prolog, 
der den Speicherinhalt der Seriennummer in einen frei- 
en, temporaren Speicher der Maschine kopiert Die 

60 Dealerfunktion zum Andern der Portoabrufnummer 
zerstort zwar weiterhin die Seriennummer, diese kann 
jetzt jedoch durch einen entsprechenden Epilog, der 
beim Beenden der Dealerfunktionalitaten aufgerufen 
wird, aus der Kopie des Prologs wiederhergestellt wer- 

65 den. Die Interpretation der Prolog- und Epilog-Daten- 
strukturen wird erfmdungsgemaB eingesetzt fur Prozes- 
soren mit strikter Trennung von Programm und Daten- 
speicher. 
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Bei modernen Prozessoren ist diese Trennung nicht 
mehr vorhanden, so daB die Datenstruktur hierbei auch 
aus, vom Prozessor direkt verarbeitbaren Maschinenbe- 
fehlen gebildet werden kfinnen, die zunachst in die Ma- 
schine kopiert und, nach bestandener Prufung, als Un- 5 
terprogramm aufgerufen werden konnen. Damit ware 
der Funktionsumfang nicht mehr auf die Operationen 
der Interpretersprache begrenzt, sondern wurden den 
gesamten Leistungsumfang einer hoheren Program- 
miersprache entsprechen. 10 

Die Erfindung ist nicht auf die vorliegenden Ausfiih- 
rungsformen beschrankt Vielmehr ist eine Anzahi von 
Varianten denkbar, welche von der dargestellten L6- 
sung auch bei grundsatzlich anders gearteten Ausfuh- 
rungen Gebrauch machen. 15 

Patentanspriiche 

1. Verfahren zur Veranderung der in Speicherzel- 
len geladenen Daten einer elektronischen Fran- 20 
kiermaschine, mit einem Mikroprozessor in einer 
Steuereinheit der Frankiermaschine zur Ausfiih- 
rung von Schritten fiir e&e Routine, welche von 
einem externen Speichermedium gesteuert wird, 
gekennzeichnet durch 25 

a) Eintreten in einen Spezial-Modus, der eine 
Veranderung der in Speicherzellen der elek- 
tronischen Frankiermaschine geladenen Da- 
ten gestattet, 

b) Aufruf einer Pruf- Routine, welche in einem 30 
sicheren internen Bereich einer elektronischen 
Frankiermaschine ablauft, zur Feststellung der 
Gultigkeit eines Programm-Codes und/oder 
von Daten im vorbestimmten Speicherplatz 
basierend auf einem Authentifikationsverfah- 35 
ren und 

c) Veranderung von Daten in der Frankierma- 
schine bei Gultigkeit der mittels Authentifika- 
tionsverfahren uberpriiften Daten oder Ver- 
lassen der Priif-Routine der Frankiermaschine, 40 
wenn die Daten ungiiltig sind und Schritte zum 
Verhindern einer weiteren Programmausfuh- 
rung zur Manipulation bzw. einer von der 
elektronischen Frankiermaschine nach extern 
fiihrenden Programmverzweigung. ... 45 

2. Verfahren nach Anspruch 1, gekennzeichnet 
durch die Schritte: 

— Betatigen einer Vorgabetaste und Prufen 
einer Zugangsberechtigung anhand eines im 
externen Speichermedium gespeicherten Zu- 50 
gangsschlussels zum Eintreten in den SpeziaJ- 
Modus, 

Bilden einer ersten MAC-Priifsumme im 
Prozessor der elektronischen Frankiermaschi- 
ne uber einen ersten (PROLOG) der Inhalte 55 
desjenigen externen Speichers, welchem ein 
erster MAC (MESSAGE AUTHENTIFICA- 
TION CODE) zugeordnet ist 

— Vergleich der in vorgenannter Weise gebil- 
deten MAC-Priifsumme im vorgenannten Pro- 60 
zessor mit dern im externen Speichermittel ge- 
speicherten Wert des ersten MAC, 

— Durchfuhrung einer Verarbeitungs-Routine 
zur Verarbeitung des ubertragenen ersten 
Speicherinhaltes (PROLOG) im vorgenannten 65 
Prozessor oder Verlassen der Priif-Routine 
der Frankiermaschine, wenn die Daten ungiil- 
tig sind und Schritte zum Verhindern einer 



weiteren Programmausfuhrung zur Manipula- 
tion bzw. einer vom vorgenannten Prozessor 
nach extern fiihrenden Programmverzwei- 
gung, 

— Durchfuhrung von internen Dealer- Routi- 
nen zum- Andern von Daten in Spe icherzellen 
der Frankiermaschine 

— Bilden einer zweiten MAC-Priifsumme im 
vorgenannten Prozessor uber einen zweiten 
(EPILOG) der Inhalte desjenigen externen 
Speichers, welchem ein zweiter MAC (MES- 
SAGE AUTHENTIFICATION CODE) zuge- 
ordnet ist, 

— Vergleich der in vorgenannter Weise gebil- 
deten MAC-Priifsumme im vorgenannten Pro- 
zessor mit dem im externen Speichermittel ge- 
speicherten Wert des zweiten MAC, 

— Durchfuhrung einer Verarbeitungs-Routine 
zur Verarbeitung des ubertragenen ersten 
Speicherinhaltes (EPILOG) im vorgenannten 
Prozessor bei Gleichhett der vorgenannten 
MAC's und Beenden der Verarbeitungsrouti- 
ne EPILOG oder Verhindern der Durchfuh- 
rung der Priif-Routine, wenn ein Fehler festge- 
st ell t wird 

3. Verfahren nach den Anspriichen 1 bis 2, dadurch 
gekennzeichnet, daB ein Spezial-EPROM, welches 
einen Schliissel fur die Zugangsberechtigung auf- 
weist, in den zugehorigen EPROM-Sockel gesteckt 
wird, wobei spezielle Treiberschaltkreise (Buffer), 
welche zwischen Bus und EPROM-Sockel geschal- 
tet sind, das Auslesen von frankiermaschineninter- 
nen Daten nach auBen verhindern und wobei uber 
den externen EPROM-Sockel eine Datenstruktur 
von auBen angelegt wird, welche bei Betatigung 
der geschutzten Vorgabetaste unter der Wirkung 
eines entsprechenden Programms bzw. einer inter- 
nen Interpreterroutine zur Veranderung des Fran- 
kiermaschinenzustandes beitragt. 

4. Verfahren nach den Anspriichen 1 bis 3, dadurch 
gekennzeichnet, daB die Vorgabetaste mittels einer 
versiegelten Postklappe geschutzt ist, welche zum 
Betatigen der Vorgabetaste geoffnet wird, urn in 
den Spezial-Modus einzutreten. 

5. Verfahren nach den Anspriichen 1 bis 4, dadurch 
gekennzeichnet, daB der Interpreter als eine spe- 
zielle Routine, die im frankiermaschineninternen 
Programmspeicher gespeichert ist, durch eine uber 
den externen EPROM-Sockel von auBen angelegte 
Datenstruktur aktiviert wird, und mit den im fran- 
kiermaschineninternen Programmspeicher gespei- 
cherten Betriebsprogrammteilen zusammenwirkt, 
urn Daten zu interpretieren, wobei jeweils ein Zur 
gangs-Schliissel den Zugang zum entsprechenden 
Spezial-Modus ermoglicht und wobei die vorge- 
nannte Datenstruktur Informationen umfaBt, die 
vom Interpreter verarbeitet werden und wobei der 
vorgenannten Prozessor Operationen ausfuhrt, die 
sich ausschlieBlich im Codebereich des Betriebs- 
programmes im frankiermaschineninternen Pro- 
grammspeicher befinden. 

6. Verfahren zur Veranderung der in Speicherzel- 
len geladenen Daten einer elektronischen Fran- 
kiermaschine, mit einem Mikroprozessor in einer 
Steuereinheit der Frankiermaschine zur Ausfuh- 
rung von Schritten fiir eine Routine, welche von 
einem externen Speichermedium gesteuert wird, 
gekennzeichnet durch 
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a) Eintreten in einen Spezial-Modus, der eine 
Veranderung der in Speicherzellen der elek- 
tronischen Frankiermaschine geladenen Da- 
ten gestattet, 

b) Aufruf einer Pruf-Routine, welche in einem 5 
sicheren internen Bereich eines OTP-Prozes- 
sors (ONE TIME PROGRAMMABLE) in ei- 
ner elektronischen Frankiermaschine ablauft, 
zur Feststellung der Gultigkeit eines Pro- 
gramm-Codes und/oder von Daten im vorbe- 10 
stimmten Speicherplatz und eines zugehorigen 
MAG (MESSAGE AUTHENTICATION 
CODEX welche im selben Speichermittel ge- 
speichert vorliegen, wobei die Oberprfifung 
auf giiltigen Programm-Code und/oder auf 15 
Gultigkeit der Daten mittels eines ausgewahl- 
ten Prufsurnmenverfahrens vbm OTP-Prozes- 
sor durchgefuhrt wird, der intern die entspre- 
chenden Programmteile enthalt und 

c) Veranderung von Daten in der Frankierma- 20 
schine bei Gultigkeit der mittels MAC fiber- 
pruften Daten oder Verlassen der Priif- Routi- 
ne der Frankiermaschine, wenn die Daten un- 
gultig sind und Schritte zum Verhindern einer 
weiteren Programmausfuhrung zur Manipula- 25 
tion bzw. einer vom OTP-Prozessor nach ex- 
tern fuhrenden Programmverzweigung. 

7. Verfahren nach Anspruch 6, gekennzeichnet 
durch die Schritte: 

— Betatigen einer/ Vorgabetaste und Prfifen 30 
einer Zugangsberechtigung anhahd eines im 
externen Speichermedium gespeicherten Zu- 
gangsschlfissels zum Eintreten in den Spezial- 
Modus, 

— Obertragen eines extern gespeicherten vpr- 35 
bestimmten ersten MAC-Wertes in den inter- 
nen OTP-RAM zur fluchtigen Speicherung 
und ein Bilden einer ersten MAC-Prfifsumme 
im OTP-Prozessor fiber einen ersten (PRO- 
LOG) der Inhalte desjenigen externen Spei- 40 
chers, welchem der erste MAC zugeordnet ist, 

— Vergleich des Ergebnisses mit dem im inter- 
nen OTP- RAM fluchtig gespeicherten vorbe- 
sumrnten Wert des ersten MAC mittels der 
internen Verarbeitungseinheit (OTP-CPU), 45 

— Durchfuhrung einer Verarbeitungs- Routine 
zur Verarbeitung des ubertragenen ersten 
Speicherinhaltes (PROLOG) in der OTP-CPU 
oder Verlassen der Pruf-Routine der Frankier- 
maschine, wenri die Daten ungiiltig sind und 50 
Schritte zum Verhindern einer weiteren Pro- 
grammausfuhrung zur Manipulation bzw. ei- 
ner vom OTP-Prozessor nach extern fuhren- 
den Programmverzweigung, 

Durchfuhrung von internen Dealer- Routi- 55 
nen zum- Andern von Daten in Speicherzellen 
der Frankiermaschine, 

— Obertragen eines extern gespeicherten vpr- 
bestimmten zweiten MAC-Wertes in den in- 
ternen OTP-RAM zur fliichtigen Speicherung 60 
und ein Bilden einer zweiten MAC-Prufsumme 
im OTP-Prozessor fiber einen zweiten (EPI- 
LOG) der Inhalte desjenigen externen Spei- 
chers, welchem der zweite MAC zugeordnet 

ISt, 65 

— Vergleich des Ergebnisses mit dem im inter- 
nen OTP-RAM fluchtig gespeicherten vorbe- 
stimmten Wert des zweiten MAC mittels der 
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internen Verarbeitungseinheit (OTP-Cf*U), 
— Durchfuhrung einer Verarbeitungs- Routine 
zur Verarbeitung des ubertragenen ersten 
Speicherinhaltes (EPILOG) in der OTP-CPU 
bei Gleichheit der vorgenannten MAC'S und 
Beenden der Verarbeitungsroutine EPILOG 
oder Verhindern der Durchfuhrung der Pruf- 
Routine, wenn ein Fehler f estgestellt wird. 

8. Verfahren nach den Anspruchen 6 bis 7, dadurch 
gekennzeichnet, daB ein Spezial-EPROM, welches 
einen Schlussel fur die Zugangsberechtigung auf- 
weist, in den zugehorigen EPROM-Sockel gesteckt 
wird, wobei spezielle Treiberschaltkreise (Buffer)* 
welche zwischen Bus und EPROM-Sockel geschal- 
tet sind, das Auslesen von frankiermaschineninter- 
nen Daten nach auBen Verhindern und wobei fiber 
den externen EPROM-Sockel eine Datenstruktur 
von auBen angelegt wird, welche bei Betatigung 
der geschutzten Vorgabetaste unter der Wirkung 
eines entsprechenden Programms bzw. einer inter- 
nen Interpreterroutine zur Veranderung des Fran- 
kiermaschinenzustandes beitragt 

9. Verfahren nach den Anspruchen 6 bis 8, dadurch 
gekennzeichnet, daB die Vorgabetaste mittels einer 
versiegelten Postklappe geschutzt ist, welche zum 
Betatigen der Vorgabetaste geoffnet wird, urn in 
den Spezial-Modus einzutreten. 

10. Verfahren nach den Anspruchen 6 bis 9, dadurch 
gekennzeichnet, daB der Interpreter als eine spe- 
zielle Routine, die im internen OTP-ROM gespei- 
chert ist, durch eine fiber den externen EPROM- 
Sockel von auBen angelegte Datenstruktur akti- 
viert wird, und mit den im internen OTP-ROM ge- 
speicherten Betriebsprogrammteilen zusammen- 
wirkt, um Daten zu interpretieren, wobei jeweils 
ein ZugangS-Schlfissel den Zugang zum entspre- 
chenden Spezial-Modus ermoglicht und wobei die 
vorgenannte Datenstruktur Informationen umf aBt, 
die vom Interpreter verarbeitet werden und wobei 
die OTP-interne CPU Operationen ausfuhrt, die 
sich ausschlieBlich im Codebereich des Betriebs- 
programmes im internen OTP-ROM befinden. 

11. Verfahren nach den Anspruchen 6 bis 10, da- 
durch gekennzeichnet, daB die Information, die 
vom Interpreter verarbeitet werden kann, von ei- 
ner Reihe von Befehlen gebildet wird, welche aus 
einem Datensatz mit drei Komponenten bestehen, 
wobei eine erste Komponente OPERATION, die 
durch den jeweiligen Befehl auszufuhrende Opera- 
tion, eine zweite Komponente TYP, den Typ des 
Wertes, welcher in einer dritten Komponente 
WERT angegeben worden ist, kennzeichnet. 

12. Verfahren nach den Anspruchen 6 bis 11, da- 
durch gekennzeichnet, daB nach dem Start im 
Schritt 30, der durch die Betatigung der Vorgabeta- 
ste ausgelost wird, im Schritt 31 bzw. 38 ein Kopie- 
ren des Prologs in den internen Datenbereich des 
internen OTP-RAM erfolgt eine MAC-Prufsumme 
im Schritt 32 bzw. 39 durch (DES)-Verschlusselung 
einer (CRQ-Prufsumme fiber den PROLOG- bzw. 
EPILOG-Codebereich gebildet wird und im Schritt 
33 bzw. 40 ein MAC- Vergleich mit der bei der Her- 
stellung bzw. Programmierung des Spezial- 
EPROMS gebildeten und im Spezial-EPROM ge- 
speicherten MAC-Prufsumme fiber den PROLOG- 

~bzw. EPILOG-Codebereich durchgefuhrt wird, so- 
wie daB ein Schritt 36 bzw. 43 vorgesehen ist, der 
die bei der Abarbeitung eines Programms auftre- 
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tende Fehlerfalle, die zur Beendigung des Interpre- 
tationsvorgangs fuhren, feststellt. 
13. Verfahren zur Veranderung der in Speicherzel- 
len geladenen Daten einer elektronischen Maschi- 
ne, mit einem Mikroprozessor in einer Steuerein- 5 
heit zur Ausfuhrung von Schritten fur eine Routine, 
welche von einem externen Speichermedium . ge- 
steuert wird, 
gekennzeichnet durch 

a) Eintreten in einen Spezial-Modus, der eine 10 
Veranderung der in Speicherzellen der elek- 
tronischen Maschine geladenen Daten gestat- 
tet t 

b) Aufruf einer Pruf-Routine, welche in einem 
sicheren internen Bereich einer elektronischen 15 
Frankiermaschine ablauft, zur Feststellung der 
Giiltigkeit eines Programm-Codes und/oder 
von Daten im vorbestimmten Speicherplatz 
basierend auf einem Authentifikationsverfah- 
renund 20 

c) Veranderung von Daten in Speicherzellen 
der elektronischen Maschine bei Giiltigkeit 
der mittels Au then tifikations verfahren fiber- 
pruften Daten oder Verlassen der Pruf- Routi- 
ne der elektronischen Maschine, wenn die Da- 25 
ten ungultig sind und Schritte zum Verhindern 
einer weiteren Programmausf iihrung zur Ma- 
nipulation bzw. einer von der elektronischen 
Maschine nach extern fuhrenden Programm- 
verzweigung. 30 

14. Verfahren nach Anspruch 1, gekennzeichnet 
durch die Verwendung eines Interpreters als eine 
spezielle Routine, die im internen OTP-ROM ge- 
speichert ist, die durch eine iiber den externen 
EPROM-Sockel von auBen angelegte Datenstruk- 35 
tur aktiviert wird, und mit den im internen OTP- 
ROM gespeicherten Betriebsprogrammteilen zu- 
sammenwirkt, um Daten zu interpretieren, wobei 
jeweils ein Zugangs-Schliissel den Zugang zum ent- 
sprechenden Spezial-Modus ermoglicht und wobei 40 
die vorgenannte Datenstruktur Informationen um- 
faBt, die vom Interpreter verarbeitet werden und 
wobei die OTP-interne CPU Operatibnen ausfiihrt, 
die sich ausschlieBlich im Codebereich des Be- 
triebsprogrammes im internen OTP-ROM befin- 45 
den. 
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